Недавно стало известно, что Smart TV от Samsung могут шпионить за тем, что говорят их владельцы, и передавать голосовые записи «внешней организации». Теперь, как оказалось, масштабы трагедии, даже больше-информация передается в чистом виде, то есть, почти каждый человек может беспрепятственно получить эти данные.
По информации Samsung, компания использует шифрование для обеспечения безопасности личной информации пользователей, и для предотвращения несанкционированного сбора и использования, что соответствует отрасли стандартов.
Тем не менее, исследователь британской компании Pen Test Partners Дэвид Лодж (David Lodge) решил для начала купить таунхаус, а уже после этого провел испытания, в ходе которых были задержаны и анализировать трафик, передаваемый Smart TV Samsung. Он обнаружил, что в заявление корейского технологического гиганта не правда — данных, передаваемых на удаленный сервер и порт 443.
Как правило, этот порт используется по умолчанию протокол HTTPS, поддерживающем, в свою очередь, шифрование. Тем не менее, когда Лодж посмотрел на фактический трафик, протекавший канала, а затем я увидел, что данные передаются в открытом виде: «То, что мы видим здесь, это не зашифрованные данные. Это даже не информация HTTP это сочетание, XML и слегка видоизмененных пакеты двоичных данных».
Исследователь выдвигает предположение: причина для использования на 443 порт превратился в то, что он, как правило, не блокируется сетевыми брандмауэрами. При этом Лодж выразил недоумение, почему компания не использует, по крайней мере, HTTP (S)? При этом, как отмечается, передача данных на сервер «внешние организации» происходит также и в не зашифрованном виде. На этом фоне теряется то, что Samsung, действительно, передаются только те данные, которые приходят для непосредственного взаимодействия с телевизором, а не постоянно в автоматическом режиме.
Это означает, что каждый слегка подготовленный человек способен получить всю информацию, которая передается таким образом. Samsung технические транслирует разговоры, которые были проведены в «присутствии» Smart TV в доступный вид, буквально, для всех, кто только хочет их услышать.
Денис Легезо, антивирусного эксперта «Лаборатории Касперского»: «лучше, конечно, передавать голосовые записи, необходимо предварительно зашифровав».
Самое интересное предположение исследователей, по данным «лаборатории Касперского», состоит в том, что встроенные в перехваченный XML бинарных данных содержат именно передающееся на сервере Nuance аудио. Однако это предположение не проверялось и требует дополнительных исследований: действительно ли это самые голосовые команды, зашифрованы ли они отдельно и сколько надежны.
Сергей Никитин, заместитель руководителя лаборатории по компьютерной криминалистике Group-IB: «В теории слушают такую не зашифрованную запись может».
Как правило, при проектировании таких устройств речь идет о целостности, доступности, производительности, чтобы все работало на самых простых устройств, при наиболее слабом доступ в интернет. Group-IB делает акцент на том, что телевизор — это устройство для развлечений, и поэтому никто не будет висеть такой ТЕЛЕВИЗОР в комнате для секретных переговоров, по-прежнему, и связи, при этом к незащищенной Сети.
Михаил Кузнецов, эксперт Hi-Tech.Mail.Ru
Теоретически, если данные ушли в сеть в открытом виде, а нападающие уже были определенные шансы, чтобы восстановить исходную информацию. Конечно, для этого нужно как следует пораскинуть мозгами, чтобы выбрать формат или кодек, который используется для передачи аудио записи. Опять же, есть вариант «обратного инжиниринга», отталкиваясь от самого телевизор и его внутреннего. Задача перехвата довольно нетривиальная, но подобные «паззлами» как раз и занимаются люди, которые имеют достаточно высокую квалификацию. В этот момент угрозу чисто иллюзорным, но, на мой взгляд, инженеры Samsung впредь нужно быть осторожным и применять более надежные решения. Распространение подобных технологий «умный дом», уже сталкивается с более неприятными последствиями.
Автор исследования, Дэвид Лодж, говорит, что Samsung может исправить эту ошибку в следующих обновлениях. Это будет очень полезно, учитывая, что корейцы стремятся активно развивать инфраструктуру, «умные» дома. Будет очень неприятно, если буквально в каждом уголке дома или квартиры будут установлены суп, который так беспечно, чтобы передавать личные данные их владельцев.
Весь 2014 год южнокорейский гигант Samsung пострадала из-за неудач на рынке смартфонов и портативных компьютеров, а на 2015 год начался для компании с рядом проблем, в телевизионном направлении. Помимо передачи голосовых записей сторонних организаций и отсутствие шифрования ранее стало известно, что производитель интеграции рекламы, даже в частных видео пользователей.